array ( 0 => 'index.php', 1 => 'PHP Manual', ), 'head' => array ( 0 => 'UTF-8', 1 => 'de', ), 'this' => array ( 0 => 'security.cgi-bin.shell.php', 1 => 'Fall 4: PHP-Parser außerhalb des Webverzeichnisbaums', 2 => 'Fall 4: PHP-Parser außerhalb des Webverzeichnisbaums', ), 'up' => array ( 0 => 'security.cgi-bin.php', 1 => 'Installiert als CGI-Version', ), 'prev' => array ( 0 => 'security.cgi-bin.doc-root.php', 1 => 'Fall 3: doc_root oder user_dir festlegen', ), 'next' => array ( 0 => 'security.apache.php', 1 => 'Verwendung als Apache-Modul', ), 'alternatives' => array ( ), 'source' => array ( 'lang' => 'de', 'path' => 'security/cgi-bin.xml', ), 'history' => array ( ), ); $setup["toc"] = $TOC; $setup["toc_deprecated"] = $TOC_DEPRECATED; $setup["parents"] = $PARENTS; manual_setup($setup); contributors($setup); ?>

Fall 4: PHP-Parser außerhalb des Webverzeichnisbaums

Eine sehr sichere Sache ist es, das PHP-Parser-Binary irgendwo außerhalb des Webverzeichnisbaums zu platzieren, beispielsweise in /usr/local/bin. Der einzige Nachteil dieses Verfahrens ist, dass eine Zeile ähnlich der folgenden Zeile: 

#!/usr/local/bin/php
als erste Zeile in jeder Datei, die PHP-Tags enthält, stehen muss. Außerdem muss die Datei ausführbar sein. Ansonsten ist sie genauso zu behandeln wie ein beliebiges CGI-Script in Perl oder sh oder anderen gebräuchlichen Skriptsprachen, die den #!-shell-escape-Mechanismus nutzen, um sich selbst aufzurufen.

Damit PHP bei dieser Konfiguration die PATH_INFO- und PATH_TRANSLATED-Informationen korrekt auswertet, muss die Konfigurationsdirektive cgi.discard_path aktiviert werden.